Архив

WinScript.Rabbit — 10 строк, которые грозят потрясти мир!

Последняя неделя октября 1998 года принесла сюрприз. Специалисты Лаборатории Касперского обнаружили компьютерный вирус, действующий на неизвестном ранее принципе: вирус заражает скрипты Windows (программы на командном языке Windows). При запуске вирус ищет на диске другие файлы -скрипты и записывается вместо них. Самым опасным при этом является тот факт, что вирус в состоянии распространяться через сеть Интернет — современные броузеры выполняют зараженные скрипты на локальном компьютере, даже если они расположены на удаленном Web-сервере.

Идея подобного вируса уже ранее была реализована в нескольких вирусах для UNIX. В конце 80-х годов вирусы, написанные на командных языках клонов UNIX, стали настоящим бедствием глобальных компьютерных сетей того времени. Наибольшую известность среди них получили сетевые вирусы-черви «Cristmas Tree», «HI.COM», «Wank Worm». Не исключено, что вирус, написанный на скриптах Windows, открывает новую эру сетевых компьютерных вирусов-червей.

Обнаруженный вирус является первым известным вирусом, поражающим скрипты Windows. Он предельно прост — содержит всего чуть более 10 команд. Этот вирус является, скорее всего, пробой пера одного из «вирусописателей» достаточно известной хакерской группы «CodeBreakers». В вирусе присутствует ряд неточностей, моментально демаскирующих появление вируса в системе: при запуске вируса с удаленного Web-сервера с помощью броузера вирус заражает все файлы в кеше броузера и копирует их в Desktop компьютера (поскольку для броузера текущим каталогом является Desktop). При этом Desktop компьютера оказывается заполненным иконками зараженных скриптов — вирус размножается как кролик, что и послужило основанием для его имени: WinScript.Rabbit.

Несмотря на эти неточности и простоту своего кода, вирус несет потенциальную угрозу для всех пользователей Интернет. Базируясь на возможностях современных глобальных сетей, вирус имеет в своем распоряжении мощный механизм распространения. Не исключено, что скрипт-вирус «Rabbit» является «первой ласточкой», по образу и подобию которой будут созданы новые вирусы, использующие тот же принцип размножения.

Технические детали

В будущем возможно появление целой серии подобных вирусов, заражающей не только скрипт-файлы, но и другие элементы операционной системы Windows и даже Web-сервера. Вирус работоспособен под всеми версиями Windows32 (Windows95/98/NT), где имеется Microsoft Scripting Host. В Windows98 и NT 5.0 поддержка скриптов является стандартной функцией. В других версиях Windows и Windows NT обработка скриптов также возможна, если установлен специальный апдейт.

В целях безопасности Лаборатория Касперского рекомендует всем пользователям Windows 95/98/NT установить встроенную в броузер защиту программы AntiViral Toolkit Pro (AVP), для детектирования и удаления известных на сегодняшний день скрипт-вирусов. Это включено в последний апдейт AVP.

В ближайшем будущем Лабораторией Касперского планируется выпуск специальной версии AVP Inspector for Web Server, детектирующей все изменения на страницах Web-серверов.

WinScript.Rabbit — 10 строк, которые грозят потрясти мир!

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике